Bulgária autorizou empresa de vigilância Circles a vender ferramentas de interceptação a dez regimes autoritários, revela Human Rights Watch

A Human Rights Watch divulgou registros oficiais de licenciamento de exportação obtidos do governo búlgaro mostrando que a empresa de vigilância Circles, sediada em Sófia, vendeu entre 2018 e 2023 sua linha de produtos de interceptação para agências de inteligência e polícias de El Salvador, Emirados Árabes Unidos, Sérvia, Azerbaijão, Guatemala, Bahrein, Jordânia, Malásia, Marrocos e Panamá. As ferramentas envolvem captura de tráfego de internet, geolocalização em tempo real e interceptação de voz via abuso de SS7. O caso reabre a discussão sobre a inoperância do regime europeu de controle de exportação de tecnologia dual-use e expõe um Estado-membro da UE como rota de saída para spyware destinado a regimes com histórico documentado de perseguição a jornalistas e dissidentes.

O que aconteceu

A organização Human Rights Watch obteve, via pedidos de acesso à informação, os registros de licenças de exportação concedidas pelo Ministério da Economia da Bulgária à empresa Circles entre 2018 e 2023. Os documentos foram revisados e formaram a base de um relatório publicado nesta semana, no qual a entidade aponta dez países compradores. O conjunto mistura governos sob regimes autoritários consolidados e democracias frágeis com histórico de uso de spyware contra dissidentes, advogados e imprensa. Não foi possível obter dados de 2025 e 2026, deixando em aberto se as vendas continuam.

A Bulgária é Estado-membro da União Europeia desde 2007 e, portanto, está sujeita ao Regulamento de Bens Dual-Use atualizado em 2021, que exige due diligence de direitos humanos antes da emissão de licenças para tecnologias de cibervigilância. O Ministério búlgaro respondeu à HRW afirmando que mantém “tolerância zero a abusos” e que exportações conflitantes com compromissos europeus e internacionais “não são permitidas”. A Comissão Europeia não respondeu aos pedidos de comentário.

Detalhes técnicos do arsenal Circles

O catálogo descrito nos documentos cobre três produtos distintos. O primeiro, Pixcell, é apresentado como solução de captura ampla de dados de internet, chamadas telefônicas e mensagens. O segundo, Landmark, faz geolocalização de telefones móveis em tempo real, sem necessidade de instalação no dispositivo-alvo. O terceiro, comercializado como Voice Over Location Enabler, abusa do protocolo de sinalização SS7 para interceptar remotamente chamadas de voz, tanto recebidas quanto efetuadas, e capturar dados associados, incluindo a localização das duas partes da comunicação.

O denominador comum é a exploração de fraquezas da própria infraestrutura global de telecomunicações. SS7, projetado nos anos 1970 para um ambiente fechado de operadoras de confiança mútua, segue em uso ativo em interconexões de roaming e sinalização entre carriers. Ataques contra SS7 estão amplamente documentados desde 2014, e mitigações como SS7 firewalls, signaling-aware monitoring e roaming steering existem mas têm adoção desigual em redes de países em desenvolvimento. A Circles foi originalmente associada ao grupo NSO em reportagens do Citizen Lab e Privacy International, embora a empresa opere comercialmente sob entidades distintas em diferentes jurisdições.

“Todos os governos da UE deveriam estar reprimindo a exportação de ferramentas que podem ser usadas para repressão, e não carimbando essas licenças. A Comissão Europeia tem evidências de que governos europeus estão emitindo licenças aparentemente sem realizar due diligence séria de direitos humanos, e ainda assim parece não ter tomado nenhuma medida apesar de dispor do arcabouço legal para controlar isso.” — Zach Campbell, pesquisador sênior de vigilância da Human Rights Watch

Riscos e quem é afetado

• Jornalistas, defensores de direitos humanos e opositores políticos nos dez países compradores, sob risco direto de monitoramento de voz e localização.
• Diplomatas, executivos e profissionais em viagem que se conectam a redes móveis nesses países, expostos a captura SS7 e geolocalização sem instalação de implante.
• Empresas de tecnologia europeias, que veem a credibilidade do regime de exportação da UE deteriorar diante de compradores institucionais globais.
• Operadoras de telecomunicações sem SS7 firewall ativo e sem monitoramento de signaling, que servem como vetor passivo dessas operações.
• Vítimas potenciais de operações transfronteiriças, já que SS7 permite interceptação remota mesmo de assinantes de outros países conectados via roaming.

Análise: o problema da terceirização regulatória na UE

A revelação chega no momento em que a União Europeia ainda processa as consequências de duas crises de spyware paralelas: o caso Pegasus, do grupo NSO israelense, e o Predator, da empresa Intellexa, com presença na Grécia e na Macedônia do Norte. Em ambos os casos, parlamentares europeus identificaram que o sistema atual delega aos Estados-membros a aplicação prática do Regulamento de Dual-Use, gerando assimetria sistêmica: enquanto Alemanha e Países Baixos endurecem critérios, outros membros operam com discricionariedade ampla. O resultado é o que os críticos chamam de venue shopping regulatório, no qual fornecedores de vigilância migram registros corporativos para a jurisdição menos exigente.

O caso Circles confirma o padrão. A empresa opera há mais de uma década, frequentemente documentada por pesquisadores acadêmicos e por relatórios técnicos, e ainda assim atravessou cinco anos consecutivos emitindo licenças válidas para destinos com histórico abertamente hostil à liberdade de imprensa. A Comissão Europeia detém o poder de iniciar procedimento de infração contra a Bulgária por aplicação inadequada do Regulamento, mas até aqui optou pelo silêncio. Para o Mercosul e para o Brasil em particular, o episódio é uma janela sobre o mercado oculto de capacidades ofensivas que circulam pela região: dois dos dez compradores estão na América Latina, e a infraestrutura SS7 brasileira não está blindada por padrão.

Recomendações práticas

• Operadoras móveis devem implantar SS7 firewall com regras de filtragem para mensagens MAP, Cat 1 e Cat 2, e fazer auditoria periódica de tráfego de sinalização anômalo.
• Profissionais sensíveis devem priorizar aplicativos com criptografia ponta a ponta para chamadas e mensagens em vez de telefonia tradicional GSM, particularmente em viagens internacionais.
• Implementar segundo fator baseado em app ou hardware token, eliminando SMS como mecanismo de autenticação para serviços críticos, em razão do risco de interceptação por SS7.
• Para organizações de direitos humanos e redações, adotar protocolos de operacionalidade segura: dispositivos limpos para viagens, contas dedicadas, comunicação fora de banda.
• Defender publicamente, em fóruns nacionais e regionais, a inclusão de cibervigilância em listas de controle estrito e a obrigatoriedade de relatórios públicos sobre licenças concedidas.
• Monitorar publicações do Citizen Lab, Access Now, Amnesty Tech e do próprio Privacy International para indicadores de campanhas Circles ativas.

Fonte: The Record